Freitag Jan 09, 2015

Oracle Audit Vault and Database Firewall: Eine Einführung

Oracle bietet seit Mitte 2013 ein Produkt mit dem Namen Oracle Audit Vault and Database Firewall (AVDF) zum Kauf an. In der Namensgebung erhalten sich die beiden Produkte, durch deren Zusammenlegung AVDF entstanden ist: Das erste, Oracle Audit Vault (AV), ein Data Warehouse, in dem Audit Daten aus Datenbanken unterschiedlicher Hersteller abgelegt werden. Das zweite, Oracle Database Firewall (DBF), eine Firewall, die den Netzwerkverkehr zu Datenbanken unterschiedlicher Hersteller überwacht, protokolliert und unerwünschte oder durch SQL Injection manipulierte Zugriffe auf Datenbanken unterbindet. Bestandteil beider Produkte war jeweils ein eigenes umfangreiches Berichtswesen.

AV und DBF überschnitten sich vor allem im Bereich der Protokollierung und des Berichtswesens. Daher lag ein Zusammenlegen der Repositories für das Speichern der Protokolle und das Erzeugen von Berichten nahe. Zusätzlich wurde im Bereich der Steuerung der beiden Komponenten einiges verändert und aufeinander abgestimmt. Und schliesslich kam im Bereich Auditing das lang erwartete Software Development Kit (SDK) in den Lieferumfang. Mit diesem SDK können auch Produkte angebunden werden, für die Oracle keine eigene Anbindung (plugins) liefert.

Zwar änderte sich mit der Zusammenlegung der Produkte technisch einiges, aber auch hinsichtlich der Lizenzierung ergaben sich Änderungen. Gerade für kleinere und mittlere Installationen fallen nämlich deutlich geringere Lizenzkosten an: Das Repository ist kostenlos. Lediglich für jeden überwachten Server entstehen Lizenzgebühren und zwar für jeden angeschlossenen Server zur Zeit 4736 EURO / CPU - unabhängig von der Anzahl der darauf installierten und überwachten Systeme und unabhängig davon, ob eine Komponente des Produkts (AV oder DBF) oder beide Komponenten eingesetzt werden.

Dieser Tipp bietet eine Einführung in die Komponente Audit Vault.

Montag Okt 06, 2014

Oracle Key Vault als Wallet Repository

Im August ist im Rahmen der DBA Community ein Artikel erschienen, in dem die Grundzüge des Arbeitens mit Oracle Key Vault (OKV) vorgestellt wurden. Dabei wurde gezeigt, wie man OKV installiert, konfiguriert und als Hardware Security Modul (HSM) nutzt. Es wurde auch darauf hingewiesen, dass OKV als Repository für Wallets (Terminologie für die Versionen 10 und 11 der Datenbank) oder Keystores (Terminologie der Datenbank Version 12) verwendet werden kann.

Ein Repository für Wallets kann sinnvoll sein, wenn man befürchten muss, dass lokale Wallets gelöscht werden und - anything that can go wrong, will go wrong - sogar die eigenen Sicherungen dieser Wallets verloren sind oder sogar nicht einmal gemacht wurden. Da auch Oracle hier nicht weiterhelfen kann, wären dann je nach Szenario alle verschlüsselten Daten komplett verloren.

Ein weiterer Aspekt, der für die Repository Lösung sprechen könnte, steht im Zusammenhang mit der Verfügbarkeit der Datenbank: Bei einem Verlust der Verbindung zwischen Datenbank und OKV / HSM würde die Datenbank ohne irgendwelche Einschränkungen weiter verfügbar sein. Denn selbst wenn die Datenbank neu gestartet werden müsste, ist das dazu in der Regel benötigte Wallet weiterhin lokal verfügbar.

Der aktuelle Beitrag zur Community beschreibt nun, wie man OKV als Wallet Repository zum Einsatz bringt.

Freitag Aug 22, 2014

Oracle Key Vault - Hardware Security Modul für TDE und mehr

Anfang August hat Oracle ein neues Produkt namens Oracle Key Vault (OKV) zum Einsatz freigegeben. Es handelt sich dabei um ein Hardware Security Modul (HSM) - also um ein Stück Hardware zum Speichern von Schlüsseln, Passwörtern und Dateien, die Schlüssel und Passwörter enthalten.

Oracle Datenbank Installationen nutzen die zuletzt genannte Form des Speicherns von Passwörtern und Schlüsseln in Dateien für Oracle Advanced Security Transparent Data Encryption (TDE) und external password stores. Die Dateien werden in den Versionen 10 und 11 der Datenbank als Wallets bezeichnet, in der Version 12 als Keystores. Allerdings gibt es auch schon seit der Datenbankversion 11.2 beim Einsatz von TDE die Möglichkeit, statt der Wallets / Keystores HSMs einzusetzen. Da Oracle selbst kein eigenes HSM Produkt anbieten konnte, haben Unternehmenskunden dann auf Produkte anderer Anbieter zurückgegriffen. Das kann sich mit OKV nun ändern.

Abhängig vom Bedrohungsszenario kann die Entscheidung gegen den Einsatz von Wallets / Keystores und für den Einsatz eines HSMs durchaus sinnvoll sein, denn

  • ein HSM bietet mehr Sicherheit: Eine Betriebssystemdatei kann leichter gestohlen (kopiert) werden, als ein HSM, das in der Regel als speziell gesicherte Steckkarte in einem Rechner eingebaut ist oder als eigenes Gerät geschützt in einem Rechenzentrum steht.
  • ein HSM kann anders als ein Wallet / Keystore systemübergreifend verwendet werden. Das erlaubt eine gemeinsame Nutzung von Schlüsseln - was wiederum zum Beispiel den Einsatz von TDE auf RAC Installationen perfekt unterstützt.
  • ein HSM kann von mehreren Anwendungen genutzt werden. Das erleichtert das Konsolidieren und Verwalten von Passwörtern und Schlüsseln.
Im aktuellen Tipp wird als Einführung in das neue Produkt dargestellt, wie OKV für TDE genutzt werden kann.

Donnerstag Dez 13, 2012

Aus 2 mach 1: Oracle Audit Vault and Database Firewall

Gestern hat Oracle bekanntgegeben, dass die beiden Produkte Oracle Audit Vault und Oracle Database Firewall zu einem Produkt werden. Der neue Produktname wird "Oracle Audit Vault and Database Firewall" sein. Software und Dokumentation werden in den nächsten Tagen zum Download verfügbar sein.

Das Zusammenlegen macht durchaus Sinn, denn die ursprünglichen Produkte wiesen im Bereich der Protokollierung und des Berichtswesens deutliche Überschneidungen auf. Damit lag es nahe, die Repositories für das Speichern des Protokolls zu vereinheitlichen. Endlich wird es im Bereich Auditing durch die Einführung eines Development Kits auch möglich sein, Systeme anzubinden, für die Oracle keine vorgefertigten Konnektoren / Kollektoren liefert. Mit der Zusammenlegung verbunden ist ein völlig neues Lizenzierungsmodell, das zu deutlichen Kostensenkungen für kleinere und mittlere Installationen führt.

About

Hier finden Sie aktuelle Tipps rund um die Oracle Datenbank.

Die Community-Einträge repräsentieren die Meinung der Autoren und entsprechen nicht zwingend der Meinung der Oracle Deutschland B.V. & Co KG.

Viel Spaß beim Lesen wünschen
Ulrike Schwinn, Ralf Durben
Heinz-Wilhelm Fabry und
Sebastian Solbach

Search

Categories
Archives
« April 2015
MoDiMiDoFrSaSo
  
1
3
4
5
6
7
8
9
10
11
12
13
14
16
18
19
20
21
22
23
24
25
26
27
28
29
30
   
       
Heute